Sozialgesetzbuch, Zehntes Buch – Sozialverwaltungsverfahren und Sozialdatenschutz
Nationale Regelung
Adressat: Das SGB X regelt das Sozialverwaltungsverfahren und den Sozialdatenschutz. So richtet es sich insbesondere an die öffentlich-rechtlichen Behörden, die die Verwaltungstätigkeit iSd Gesetzes ausüben.
Relevante Normen: § 79 Abs. 2 Nr. 4, Abs. 3, Abs. 4 Satz 3; § 83a; § 97 Abs. 1; Anlage zu 78a
Regelungsgehalt
Allgemein:
Das Sozialgesetzbuch ist die deutschen Kodifikation des Sozialrechts. Konzipiert ist das SGB als ein zusammenhängendes Gesamtwerk bestehend aus zahlreichen Spezialgesetzen. Daher ist es insgesamt als „Einheit“ zu interpretieren und anzuwenden. Das Sozialgesetzbuch gliedert sich in einen Allgemeinen Teil (SGB I) sowie (derzeit) elf weitere Bücher (SGB II – XIV, wobei XIII als vermeidliche Unglückszahl nicht vergeben ist), die gesetzestechnisch jeweils eigenständige Gesetze darstellen, nachdem keine bücherübergreifende fortlaufende Paragraphen-Nummerierung existiert. Das Zehnte Buch des SGB hat das Sozialverwaltungsverfahren und den Sozialdatenschutz zum Gegenstand. Konkret gliedert sich das SGB X in vier Kapitel. Beginnend mit dem sozialgerichtlichen Verwaltungsverfahren legen die §§ 1 ff. fest, welche Rechte und Pflichten die Verfahrensbeteiligten haben, statuieren Verfahrensgrundsätze, normieren die Anforderungen an rechtmäßige Verwaltungsakte (bzw. die rechtlichen Konsequenzen möglicher Rechtswidrigkeit) und befassen sich mit dem Rechtsinstitut des öffentlich-rechtlichen Vertrags. Ferner geregelt sind das Rechtsbehelfsverfahren sowie die Vollstreckung. In Abgrenzung zu dem Verwaltungsverfahrensgesetz des Bundes legt § 1 Abs. 1 Satz 1 SGB X fest, dass für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden, die nach dem SGB X ausgeübt wird, das erste Kapitel des SGB X als vorrangige Spezialreglung gilt. Im deutschen Sozialrecht finden sich eine Vielzahl bereichsspezifischer Regelungen zum Datenschutz. Mit Blick auf den Schutz der Sozialdaten definiert das zweite Kapitel des SGB X in diesem Kontext, unter welchen Voraussetzungen Sozialdaten erhoben, gespeichert, verändert, genutzt, übermittelt, verarbeitet und gelöscht werden dürfen. Insoweit konkretisieren diese Vorgaben das bereits in § 1 des SGB I normierte Sozialgeheimnis. Insbesondere die gesetzeskonforme Übermittlung der entsprechenden Daten ist situationsbezogen spezifisch geregelt. Die §§ 81 ff. SGB X geben Auskunft über die Rechte der betroffenen Personen sowie den/die Beauftragte für den Datenschutz. Die Zusammenarbeit der Leistungsträger und ihre Beziehungen zu Dritten regelt sodann Kapitel drei. Namentlich etwaige Erstattungs- und Schadensersatzansprüche sind hier von praktischer Relevanz. Das vierte Kapitel besteht lediglich aus einer Übergangsregelung. Die Verabschiedung der einzelnen Teile des SGB erfolgte schrittweise. Das SGB X trat am 1. Januar 1981 in Kraft. Nachdem das Zehnte Buch des SGB namentlich auch den Sozialdatenschutz regelt, wurde es aufgrund zahlreicher – überwiegend europäischer – Vorgaben geändert und in die entsprechenden Zielbestimmungen datenschutzrechtlicher Art integriert. Zu nennen sind hier vor allem Anpassungen an die Datenschutzgrundverordnung (DSGVO).
§ 79:
Umfassende Regelungen den Sozialdatenschutz betreffend enthalten die §§ 67 ff. SGB X. Die Einrichtung eines automatisierten Verfahrens auf Abruf, d.h. eines Systems, dass die Übermittlung von Sozialdaten durch Abruf ermöglicht, ist nur zulässig, soweit zu berücksichtigende schutzwürdige Interessen der betroffenen Personen nicht entgegenstehen. Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens auf Abruf kontrollierbar ist, indem sie den Anlass und Zweck des Verfahrens, Dritte, an die übermittelt wird, die Art der zu übermittelnden Daten sowie die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen schriftlich oder elektronisch festlegen, § 79 Abs. 2 SGB X. Unter Mitteilung dieser Festlegungen ist die für die Kontrolle des Datenschutzes zuständige Stelle im Vorfeld rechtzeitig über die Einrichtung von Verfahren auf Abruf zu unterrichten. Während der Dritte, an den übermittelt wird, die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt, prüft die speichernde Stelle die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht, § 79 Abs. 3 SGB X. Unter gewissen Voraussetzungen sind den Abrufvorgang betreffende Daten jedoch zu protokollieren und spätestens nach sechs Monaten zu löschen, § 79 Abs. 4 Satz 3 SGB X. Von den geschilderten Vorgaben ausgenommen ist der Abruf aus Dateisystemen, die mit Einwilligung der betroffenen Personen angelegt werden und die jedermann zur Benutzung offenstehen, § 79 Abs. 5 SGB X.
Anlage zu § 78a:
Verantwortliche Stellen, die selbst oder im Auftrag Sozialdaten erheben, verarbeiten oder nutzen, haben sowohl technische als auch organisatorische Maßnahmen einschließlich Dienstanweisungen zu treffen, die erforderlich sind, um eine gesetzeskonforme Ausführung zu gewährleisten. Hierbei sind Maßnahmen jedenfalls dann aber nicht erforderlich, wenn ihr Aufwand in keinem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht, vgl. § 78a SGB X. Ergänzende Vorgaben diesbezüglich enthält die Anlage zu § 78a SGB X. Ausweislich dieser Anlagen ist die innerbehördliche oder innerbetriebliche Organisation im Rahmen der automatischen Verarbeitung oder Nutzung von Sozialdaten so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Die Geeignetheit solcher zu treffender Maßnahmen orientiert sich insoweit an der Art bzw. Kategorie der zu schützenden Sozialdaten. Genannt sind etwa Kontrollen bzgl. des Zugangs, des Zutritts, der Weitergabe oder der Verfügbarkeit. Als Maßnahme ist insbesondere auch die Verwendung dem Stand der Technik entsprechender Verschlüsselungsverfahren zu klassifizieren, vgl. Satz 3 Der Anlage zu § 78a SGB X.
§ 83a; § 97 Abs. 1:
Im Falle der Verletzung des Schutzes der Sozialdaten muss die verantwortliche Stelle, ergänzend zu den unabhängig hiervon bestehenden Meldepflichten gem. Art. 33 und 34 DSGVO, auch die Rechts- oder Fachaufsichtsbehörde benachrichtigen, § 83a SGB X. Wenn Dritte mit der Durchführung von Aufgaben betraut werden, d.h. etwa ein Leistungsträger von einem Dritten Aufgaben wahrnehmen lässt, muss sichergestellt sein, dass der Dritte die Gewähr für eine sachgerechte, die Rechte und Interessen des Betroffenen wahrende Erfüllung der Aufgaben bietet, § 97 Abs. 1 SGB X.